Informacije o sigurnosnom sadržaju preglednika Safari 3.1.1

U ovom se dokumentu opisuje sigurnosni sadržaj preglednika Safari 3.1.1, koji se može preuzeti i instalirati putem postavki za ažuriranje softvera ili s web-mjesta Apple Preuzimanja.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”

Kada je to moguće, CVE ID-ovi

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja.”

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

Dostupno za: Windows XP ili Vista

Učinak: zlonamjerno web-mjesto može upravljati sadržajem adresne trake.

Opis: vremenski problem u pregledniku Safari 3.1 web-stranici omogućuje promjenu sadržaja adresne trake bez učitavanja sadržaja odgovarajuće stranice. To se može upotrijebiti za lažiranje sadržaja legitimnog web-mjesta te prikupljanje korisničkih vjerodajnica i drugih podataka. Problem je riješen u verziji Safari Beta 3.0.2, ali je ponovno utvrđen u verziji Safari 3.1. Ovim se ažuriranjem problem rješava vraćanjem sadržaja adresne trake ako se prekine zahtjev za novu web-stranicu. Problem ne utječe na sustave Mac OS X.

Safari

CVE-ID: CVE-2008-1024

Dostupno za: Windows XP ili Vista

Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

Opis: problem s oštećenjem memorije u preuzimanju datoteka u pregledniku Safari. Poticanjem korisnika na preuzimanje datoteke zlonamjernog naziva napadač može uzrokovati neočekivani prekid rada aplikacije ili izvršavanje proizvoljnog koda. Ovim se ažuriranjem problem rješava poboljšanim upravljanjem preuzimanjima datoteka. Problem ne utječe na sustave Mac OS X.

WebKit

CVE-ID: CVE-2008-1025

Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ili Vista

Učinak: posjećivanje zlonamjernog web-mjesta može uzrokovati napad unakrsnim skriptiranjem.

Opis: problem se javlja kada WebKit rukuje URL-ovima koji sadrže znak dvotočke u nazivu glavnog računala. Otvaranje zlonamjernog URL-a može uzrokovati napad unakrsnim skriptiranjem. Ovim je ažuriranjem problem riješen poboljšanjem rukovanja URL-ovima. Na prijavi problema zahvaljujemo Robertu Swieckom iz Googleovog tima za sigurnost informacija i Davidu Bloomu.

WebKit

CVE-ID: CVE-2008-1026

Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ili Vista

Učinak: otvaranje zlonamjerne web-stranice može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

Opis: u načinu na koji WebKit obrađuje regularne izraze programskog jezika JavaScript dolazi do prekoračenja veličine međumemorije u skupovima. Problem može aktivirati JavaScript prilikom obrade regularnih izraza s velikim brojem ugniježđenih ponavljanja. To može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovim se ažuriranjem rješava problem izvođenjem dodatne provjere valjanosti regularnih izraza programskog jezika JavaScript. Na prijavi problema zahvaljujemo Charlieju Milleru, Jakeu Honoroffu i Marku Danielu iz inicijative Zero Day Initiative tvrtke TippingPoint.